Yapay zekâ, yazılım geliştirmeden veri analizine kadar birçok alanda olduğu gibi siber güvenlikte de günlük iş akışlarının önemli bir parçası hâline geldi. Özellikle penetrasyon testi (pentest) süreçlerinde kod analizi, araç çıktılarının yorumlanması, rapor hazırlama ve araştırma gibi zaman alan işlemler, artık büyük ölçüde LLM (Large Language Model) tabanlı sistemlerle desteklenebiliyor.
Ancak yapay zekâ kullanımının yaygınlaşmasıyla birlikte önemli bir soru da gündeme geliyor: LLM’ler tarafından üretilen çıktılar ne kadar güvenilir? Çünkü LLM’ler zaman zaman gerçekte var olmayan bilgiler üretebiliyor. Güvenlik alanında ise küçük bir hata, yanlış analizlere, zaman kaybına ve kritik güvenlik açıklarının gözden kaçmasına neden olabiliyor.
LLM Halüsinasyonu Nedir?
Yapay zekâ modellerinde halüsinasyon, modelin gerçekte bulunmayan veya doğrulanamayan bilgileri doğruymuş gibi üretmesi anlamına geliyor.
Bu durum çoğu zaman bir yazılım hatası olarak değerlendirilse de, aslında LLM’lerin çalışma biçiminin doğal bir sonucudur. Çünkü bu modeller bilgiyi doğrulayan sistemler değil; verilen bağlama göre en olası kelime veya ifadeyi tahmin ederek metin üreten istatistiksel modellerdir.
Pentest çalışmalarında bu durum farklı şekillerde karşımıza çıkabiliyor. Örneğin model:
- Tarama sonuçlarında bulunmayan güvenlik açıklarını varmış gibi gösterebilir.
- Gerçekte bulunmayan araçlar, exploit modülleri veya uygulanabilir olmayan saldırı teknikleri önerebilir.
- Yanlış CVE numaraları üretebilir.
- Çalışmayan komutları geçerliymiş gibi sunabilir.
İlk bakışta oldukça ikna edici görünen bu çıktılar, doğrulanmadan kullanıldığında güvenlik analizlerinin doğruluğunu ciddi şekilde etkileyebilir.
Yapay Zekâ Neden Yanlış Bilgi Üretiyor?
LLM’lerin temel çalışma mantığı, internetteki veya eğitim verisindeki bilgileri ezberleyip gerektiğinde geri getirmek değildir. Model, her adımda en olası sonraki kelimeyi seçerek cevap oluşturur.
Bu nedenle model; gerçekleri bildiği için değil, istatistiksel olarak en olası cevabı oluşturduğu için yanıt verir. Bu yaklaşım doğal ve akıcı metin üretmesini sağlarken, bazı durumlarda gerçekte karşılığı olmayan bilgilerin de ortaya çıkmasına neden olabilir.
Bu davranışı etkileyen faktörlerden biri de temperature parametresidir. Düşük temperature değerleri daha tutarlı ve tekrar edilebilir cevaplar üretirken, yüksek değerler modeli daha yaratıcı hâle getirir. Ancak yaratıcılık arttıkça halüsinasyon üretme ihtimali de yükselir.
Bir diğer önemli unsur ise context window (bağlam penceresi) olarak adlandırılan sınırdır. Model yalnızca belirli miktardaki metni aynı anda değerlendirebildiği için uzun sohbetlerde önceki bilgiler bağlam dışına çıkabilir. Bu da analizin tutarlılığını olumsuz etkileyebilir.
Pentest Süreçlerinde Yapay Zekâ Nasıl Kullanılmalı?
- Uzmanlara göre en doğru yaklaşım, LLM’leri doğrudan karar veren bir sistem olarak değil, analiz süreçlerini destekleyen bir yardımcı araç olarak konumlandırmak. Örneğin doğrudan bir sisteme saldırı yöntemi istemek yerine, elde edilen teknik çıktının yorumlanmasını istemek çok daha güvenilir sonuçlar üretebilir.
- Aynı şekilde prompt hazırlanırken modelin ne yapması gerektiği kadar ne yapmaması gerektiğinin de belirtilmesi önem taşıyor. “Spekülasyon yapma”, “kanıtlanmamış güvenlik açığı üretme” veya “varsayımsal exploit önerme” gibi sınırlar, modelin yanlış yönlendirme ihtimalini azaltabiliyor.
- Uzun analizlerde ise tek seferde büyük miktarda veri göndermek yerine, süreci daha küçük ve anlamlı parçalara bölmek hem bağlam yönetimini kolaylaştırıyor hem de daha tutarlı cevaplar alınmasını sağlıyor.
Doğrulama Süreci Vazgeçilmez
Yapay zekâ, pentest uzmanlarının iş yükünü azaltan ve analiz sürecini hızlandıran güçlü bir yardımcı hâline gelmiş durumda. Kod inceleme, log analizi, güvenlik raporlarının hazırlanması ve teknik araştırmalar gibi birçok alanda önemli zaman kazandırabiliyor.
Ancak güvenlik alanında üretilen hiçbir yapay zekâ çıktısı tek başına doğru kabul edilmemeli. Özellikle güvenlik açıkları, exploit önerileri, CVE bilgileri veya komut çıktıları; resmi dokümantasyon, güvenlik araçları ve manuel analizlerle mutlaka doğrulanmalı.
LLM’ler bugün pentest süreçlerinde önemli bir destek sunuyor. Ancak güvenli kullanımın temel kuralı değişmiyor: Yapay zekâ analiz edebilir ve öneriler sunabilir; ancak güvenlik kararlarının nihai sorumluluğu her zaman insana aittir.
📌 Konuyu daha kapsamlı incelemek isterseniz, aşağıdaki bağlantıya göz atabilirsiniz:
🔗LLM’ler Pentestte Ne Kadar Güvenilir? Halüsinasyon Riski ve Korunma Yöntemleri
